Comment démontrer la conformité à l'article 40 du RGPD

Codes de bonne conduite

Demander demo

groupe,de,heureux,collègues,discutant,dans,la,salle,de,conférence

RGPD Article 40 traite explicitement de la nécessité pour les organisations de rédiger un ou plusieurs codes de conduite qui soient propres à leur entreprise et applicables aux différents rôles qu’il contient.

Les codes de support peuvent impliquer des scénarios tels que l'utilisation de données personnelles à des fins de marketing ou de soins de santé.

Article 40 du RGPD Texte juridique

Version RGPD de l'UE

Codes de bonne conduite

  1. Les États membres, les autorités de contrôle, le Conseil et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, en tenant compte des spécificités des différents secteurs de transformation et des besoins spécifiques des micro-entreprises. , petites et moyennes entreprises.

  2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, ou modifier ou étendre ces codes, dans le but de préciser l'application du présent règlement, notamment en ce qui concerne :

    • (a) un traitement équitable et transparent ;

    • (b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques ;

    • (c) la collecte de données personnelles ;

    • (d) la pseudonymisation des données personnelles ;

    • (e) les informations fournies au public et aux personnes concernées ;

    • (f) l'exercice des droits des personnes concernées ;

    • g) les informations fournies aux enfants et leur protection, ainsi que la manière dont le consentement des titulaires de la responsabilité parentale à l'égard des enfants doit être obtenu ;

    • h) les mesures et procédures visées aux articles 24 et 25 ainsi que les mesures visant à garantir la sécurité du traitement visées à l'article 32 ;

    • (i) la notification des violations de données personnelles aux autorités de contrôle et la communication de ces violations de données personnelles aux personnes concernées ;

    • (j) le transfert de données personnelles vers des pays tiers ou des organisations internationales ; ou

    • (k) les procédures extrajudiciaires et autres procédures de règlement des litiges visant à résoudre les litiges entre les responsables du traitement et les personnes concernées concernant le traitement, sans préjudice des droits des personnes concernées en vertu des articles 77 et 79.

  3. Outre l'adhésion des responsables du traitement ou des sous-traitants soumis au présent règlement, les codes de conduite approuvés en vertu du paragraphe 5 du présent article et ayant une validité générale en vertu du paragraphe 9 du présent article peuvent également être respectés par les responsables du traitement ou les sous-traitants qui ne sont pas soumis au présent article. Règlement pris en application de l'article 3 afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers des pays tiers ou des organisations internationales dans les conditions visées à l'article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants doivent prendre des engagements contraignants et exécutoires, par le biais d'instruments contractuels ou d'autres instruments juridiquement contraignants, à appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

  4. Un code de conduite visé au paragraphe 2 du présent article contient des mécanismes permettant à l'organisme visé à l'article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer, sans sans préjudice des missions et des pouvoirs des autorités de contrôle compétentes en vertu de l'article 55 ou 56.

  5. Les associations et autres organismes visés au paragraphe 2 du présent article qui envisagent d'élaborer un code de conduite ou de modifier ou d'étendre un code existant soumettent le projet de code, de modification ou d'extension à l'autorité de surveillance compétente en vertu de l'article 55. L'autorité de contrôle donne un avis sur la conformité du projet de code, de modification ou d'extension au présent règlement et approuve ce projet de code, de modification ou d'extension si elle estime qu'il offre des garanties suffisantes et appropriées.

  6. Lorsque le projet de code, la modification ou l'extension est approuvé conformément au paragraphe 5 et que le code de conduite concerné ne concerne pas des activités de traitement dans plusieurs États membres, l'autorité de contrôle enregistre et publie le code.

  7. Lorsqu'un projet de code de conduite concerne des activités de traitement dans plusieurs États membres, l'autorité de contrôle compétente en vertu de l'article 55, avant d'approuver le projet de code, de modification ou d'extension, le soumet au Conseil selon la procédure visée à l'article 63. qui donne un avis sur la question de savoir si le projet de code, de modification ou d'extension est conforme au présent règlement ou, dans la situation visée au paragraphe 3 du présent article, prévoit des garanties appropriées.

  8. Lorsque l'avis visé au paragraphe 7 confirme que le projet de code, de modification ou d'extension est conforme au présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission.

  9. La Commission peut, au moyen d'actes d'exécution, décider que le code de conduite approuvé, la modification ou l'extension qui lui est soumis en vertu du paragraphe 8 du présent article ont une validité générale au sein de l'Union. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen prévue à l'article 93, paragraphe 2.

  10. La Commission assure une publicité appropriée aux codes approuvés dont il a été décidé qu'ils avaient une validité générale conformément au paragraphe 9.

  11. Le Conseil rassemblera tous les codes de conduite, modifications et extensions approuvés dans un registre et les rendra publics par des moyens appropriés.

Version du RGPD au Royaume-Uni

Codes de bonne conduite

  1. Le Commissaire encouragera l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, en tenant compte des spécificités des différents secteurs de transformation et des besoins spécifiques des micro, petites et moyennes entreprises.

  2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, ou modifier ou étendre ces codes, dans le but de préciser l'application du présent règlement, notamment en ce qui concerne :

    • (a) un traitement équitable et transparent ;

    • (b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques ;

    • (c) la collecte de données personnelles ;

    • (d) la pseudonymisation des données personnelles ;

    • (e) les informations fournies au public et aux personnes concernées ;

    • (f) l'exercice des droits des personnes concernées ;

    • g) les informations fournies aux enfants et leur protection, ainsi que la manière dont le consentement des titulaires de la responsabilité parentale à l'égard des enfants doit être obtenu ;

    • h) les mesures et procédures visées aux articles 24 et 25 ainsi que les mesures visant à garantir la sécurité du traitement visées à l'article 32 ;

    • (i) la notification des violations de données personnelles au commissaire et la communication de ces violations de données personnelles aux personnes concernées ;

    • (j) le transfert de données personnelles vers des pays tiers ou des organisations internationales ; ou

    • (k) les procédures extrajudiciaires et autres procédures de règlement des litiges visant à résoudre les litiges entre les responsables du traitement et les personnes concernées concernant le traitement, sans préjudice des droits des personnes concernées en vertu des articles 77 et 79.

  3. Outre l'adhésion des responsables du traitement ou des sous-traitants soumis au présent règlement, les codes de conduite approuvés en vertu du paragraphe 5 du présent article et ayant une validité générale en vertu du paragraphe 9 du présent article peuvent également être respectés par les responsables du traitement ou les sous-traitants qui ne sont pas soumis au présent article. Règlement pris en application de l'article 3 afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers des pays tiers ou des organisations internationales dans les conditions visées à l'article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants doivent prendre des engagements contraignants et exécutoires, par le biais d'instruments contractuels ou d'autres instruments juridiquement contraignants, à appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

  4. Un code de conduite visé au paragraphe 2 du présent article contient des mécanismes permettant à l'organisme visé à l'article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer, sans préjudice des tâches et des pouvoirs du commissaire.

  5. Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l'intention d'élaborer un code de conduite ou de modifier ou d'étendre un code existant doivent soumettre le projet de code, d'amendement ou d'extension au commissaire. Le commissaire donne un avis sur la conformité du projet de code, de modification ou d'extension au présent règlement et approuve ce projet de code, de modification ou d'extension s'il estime qu'il offre des garanties suffisantes et appropriées.

  6. Lorsque le projet de code, ou l'amendement ou l'extension, est approuvé conformément au paragraphe 5, le commissaire enregistre et publie le code.
Aller au sujet
Approuvé par les entreprises du monde entier
  • Simple et facile à utiliser
  • Conçu pour le succès de la norme ISO 27001
  • Vous fait gagner du temps et de l'argent
Réservez votre démo
img

Commentaire technique

L'article 40 du RGPD demande aux organisations de prendre en compte 8 domaines principaux lors de la mise en œuvre de codes de conduite :

  1. Qu’entend-on par code de conduite, à quoi sert-il et qui peut le rédiger ?

  2. Les besoins spécifiques de l’organisation qui doivent être pris en compte par un code de conduite.

  3. Associations ou autres organismes industriels qui traitent des codes de conduite applicables à l'organisation.

  4. Qui est leur public cible.

  5. Comment les codes de conduite sont approuvés par les autorités compétentes.

  6. Conditions spécifiques qui doivent être remplies avant qu'un code de conduite puisse être approuvé (par exemple, une déclaration d'ouverture).

  7. Comment un code de conduite peut être publié, une fois approuvé.

  8. Si un code de conduite doit ou non être inscrit sur un registre de codes similaires.

Clause 27701 de la norme ISO 5.2.1 (Comprendre l'organisation et son contexte) et article 40 du RGPD de l'UE

Dans cette section, nous parlons des articles 40 (1), 40 (10), 40 (11), 40 (2)(a), 40 (2)(b), 40 (2)(c), 40 (2) du RGPD. 40 (2)(e), 40 (2)(f), 40 (2)(g), 40 (2)(h), 40 (2)(i), 40 (2)( j), 40 (2)(k), 40 (3), 40 (4), 40 (5), 40 (6), 40 (7), 40 (8), 40 (9)

L'organisation doit être en mesure de comprendre comment elle va atteindre ses objectifs en matière de protection de la vie privée, et tout problème qui fait obstacle à la protection des informations personnelles doit être identifié et résolu.

Avant de tenter d’aborder la protection de la vie privée et de mettre en œuvre des informations personnelles, les organisations doivent d’abord comprendre leurs obligations en tant que contrôleur et/ou sous-traitant unique ou conjoint des informations personnelles.

Ceci comprend :

  • Examiner les lois, réglementations ou « décisions judiciaires » en vigueur en matière de protection de la vie privée.

  • Tenir compte de l'ensemble unique d'exigences de l'organisation liées au type de produits et de services qu'elle vend, ainsi que des documents, politiques et procédures de gouvernance spécifiques à l'entreprise.

  • Tous les facteurs administratifs, y compris la gestion quotidienne de l'entreprise.

  • Accords avec des tiers ou contrats de service susceptibles d'avoir un impact sur les informations personnelles et la protection de la vie privée.

Index des articles liés au RGPD de l'UE et aux clauses ISO 27701

Article RGPDArticle ISO 27701Clauses complémentaires ISO 27701
RGPD de l'UE, articles 40 (1) à 40 (9)ISO 27701 5.2.1Aucun

Comment l'aide d'ISMS.online

En combinant notre stratégie de mise en œuvre « Adopter, Adapter, Ajouter » avec la plateforme ISMS.online, les efforts nécessaires pour atteindre la conformité au RGPD sont considérablement réduits. Il existe également un certain nombre de fonctionnalités puissantes qui vous feront gagner du temps.

Nous facilitons le mappage des données. Avec notre outil dynamique préconfiguré d’enregistrement des activités de traitement, vous pouvez facilement suivre tout cela.

En savoir plus par réserver une courte démo.

Je recommanderais certainement ISMS.online, cela rend la configuration et la gestion de votre ISMS aussi simple que possible.

Peter Risdon
RSSI, Vital

Réservez votre démo

ISMS.online prend désormais en charge ISO 42001 – le premier système de gestion de l'IA au monde. Cliquez pour en découvrir davantage